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Beschreibung 



1 • Bezeichnung 



5 Verfahren und Computersystem zur Codierung einer digitalen 
Nachricht, zur Ubertragung-der Nachricht von einer ersten 
Computereinheit zu einer zweiten Compute re inhe it und zur De- 
codierung der Nachricht 



Es sind verschiedene Netzwerkprotokolle im Bereich des Mana- 
gements von Rechnernetzen bekannt . Die Aufgaben ftir die Ver- 
waltung von Rechnernetzen wird durch die hohe Verbreitung von 
15 Computern und die immer komplexer werdende Vernetzung von 



Systeme zum Netzmanagement werden immer machtiger. Im Rahmen 
der Verwaltung von Rechnernetzen gewinnt die Frage der Si- 
cherheit des Netzmanagements immer groSere Bedeutung. Die Si- 
2 0 cherheit des Netzmanagements hangt sehr stark von den in dem 
System verwendeten Sicherheitstechniken ab. 

Aus dem Dokument (M. Rose, The Simple Book, PTR Prentice 
Hall, 2. Auflage, ISBN 0-13-177254-6, S. 59 - 91, 1994) sind 
verschiedene Netzwerkprotokolle fur das Netzmanagement be- 
kannt, beispielsweise das Simple -Network-Management -Protocol 
(SNMP) in der Version 1 (SNMPvl) und in der Version 2 
(SNMPv2) Oder auch das Common-Management -internet -£rotocol 
(CMIP) . 

30 

Das SNMPvl hat bisher die weiteste Verbreitung zur Uberwa- 
chung und Kontrolle von Netzwerkkomponenten sowohl liber loka- 
le Rechnernetze (Local Area Networks, LANs) , als auch bei 
globalen Netzen (Wide -Area-Networks , WANs) . 

35 

Das SNMPvl ist im Rahmen des OSI-Kommunikationsschichten- 
Systems oberhalb der Internetprotokolle User-Datagram- 



10 
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Computern zunehmend schwieriger und die dafiir erf orderlichen 
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Protocol (UDP) und Internet -Protocol (IP) angeordnet . Sowohl 
das UDP als auch das IP weisen erhebliche Schwachen im Be- 
reich der Sicherheit auf , da Sicherheitstnechanismen in diesen 
Protokollen wenig bis gar nicht integriert sind. 

5 

Im weiteren werden sowohl das SNMP als auch CMIP als Netz- 
werkprotokoll bezeichnet . 

Die Netzwerkprotokolle werden zur Ubertragung von Rechner- 
10 netz-Management-Inf ormation zwischen einer ersten Compu- 

tereinheit, die einen sog. Manager enthalt und mindestens ei- 
ner zweiten Computereinheit , die einen sog. Agenten enthalt, 
verwendet. In einem komplexen Rechnernetz werden iiblicherwei- 
se mindestens eine Managementstation und eine beliebige An- 
15 zahl von von der Manage rapplikat ion liberwachten und kontrol- 
lierten Rechnern liber das Netzwerkprotokoll liberwacht bzw. 
gesteuert . 

Es sind jedoch ebenso Netzwerkmanagementarchitekturen be- 
20 kannt, die mehrere Hierarchien aufweisen, beispielsweise meh- 
rere Computer die von jeweils einem Manager uberwacht werden, 
und mehrere Computer, die jeweils eine Managerapplikation 
enthalten, die wiederum von einem weiteren Computer, der eine 
iibergeordnete Managerapplikation enthalt, uberwacht bzw. kon- 
25 trolliert werden. 

Ein Computer, der eine Managerapplikation des jeweiligen 
Netzwerkprotokolls enthalt, wird im weiteren als erste Compu- 
tereinheit bezeichnet. 

30 

Jede Computereinheit, die einen Agenten implementiert hat, 
wird im weiteren als zweite Computereinheit bezeichnet. 

Es ist moglich, dafi ein Computer sowohl als Manager als auch 
3 5 als Agent ausgestaltet ist, entsprechend sind die Funktiona- 
litaten in dem Computer enthalten. 
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Das jeweilige Netzwerkprotokoll kann in dem Computer sowohl 
in Hardware als auch in Software realisiert sein. 

Im weiteren wird von einer einfachen Hierarchie ausgegangen, - 
d.h. es wird nur der Fall beschrieben, bei dem ein erster 
Computer als Manager eine. beliebige Anzahl von zweiten Compu- 
tern, die Agenten, iiberwacht, bzw. steuert . Dies dient jedoch 
lediglich der einfacheren Darstellung. Es ist ohne weiteres 
moglich, die Erfindung auch in einer Architektur mit einer 
beliebigen Anzahl von Hierarchieebenen anzuwenden. 

Bei den Netzwerkprotokollen wird von der ersten Computerein- 
heit zu den zweiten Computereinheiten entweder eine Informa- 
tionsabfrage ubertragen oder es wird ein Steuerungswert zur 
Steuerung bzw. Kontrolle der zweiten Computereinheit ubertra- 
gen . 

In jeder zweiten Computereinheit ist es bei den bekannten 
Netzwerkprotokollen ublich, daS die von der zweiten Compu- 
tereinheit im Rahmen des Netzwerkprotokolls verwendete Infor- 
mation in Form einer sog. Management- Information-Base (MIB) , 
die die Struktur einer hierarchischen Datenbank aufweist, 
speichert . 

Die Gesamtstruktur der Management information der Netzwerkpro- 
tokolle wird in einem sog. globalen Registratur-Baum 
(Registraion-Tree) , beispielsweise dem globalen SNMP- 
Registration-Tree gespeichert. Die MIB eines Agenten, also 
einer zweiten Computereinheit, ist ein Teil des Registratur- 
Baums des jeweiligen Netzwerkprotokolls. 

Zur Ubertragung von Information zwischen der ersten Compu- 
tereinheit und der zweiten Computereinheit werden digitale 
Nachrichten, beispielsweise eine SNMPvl-Nachricht verwendet . 

Eine SNMPvl-Nachricht enthalt eine Versionsnummer , einen sog. 
Community- String und eine SNMPvl- Protocol -Data -Unit (PDU) . 
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Mit der Versionsnummer wird die Version des verwendeten Netz- 
werkprotokolls angegeben. Die Versionsnummer wird bei der Im- 
plementierung des jeweiligen Netzwerkprotokolls festgelegt. 

5 

Der Community- String bei der SNMPvl dient als Passwort fiir 
den Zugang zu einer MIB einer zweiten Computereinheit . Der 
Community- String wird bei SNMPvl unverschliisselt. zu dem Agen- 
ten gesendet. In dem Agenten, also der zweiten Computerein- 

10 heit, wird liberpriift, ob der Community- String, der jeweils 

zusammen mit einer SNMPvl -Nachricht empfangen wurde, zu einem 
Zugriff in der MIB der zweiten Computereinheit berechtigt. Da 
das Passwort bei SNMPvl unverschliisselt ubertragen wird, ist 
ein MiEbrauch des Community- Strings leicht moglich, bei- 

15 spielsweise zur Maskierung eines potentiellen Angreifers und 
2um ungefugten Zugriff auf eine zweite Computereinheit, da es 
sehr einfach ist fiir einen potentiellen Angreifer, den Commu- 
nity-String zusammen mit einer IP-Senderadresse eines autori- 
sierten Benutzers abzuhoren. 

20 

SNMPvl hat somit praktisch keinerlei wirkungsvolle Sicher- 
heitsmechanismen integriert, insbesondere keine wirkungsvolle 
Authentif ikation des SNMPvl -Managers und als Folge der feh- 
lenden Authentif ikation keine zuverlassige Zugriff skontrolle 

25 auf Seite des Agenten. Ferner enthalt SNMPvl keine Moglich- 

keit, Sicherheitsmechanismen der Datenintegritat oder der Da- 
tenvertraulichkeit zum implementieren . Somit ist es fur einen 
potentiellen Angreifer ohne weiteres moglich, iibertragene 
SNMP-PDUs einfach abzuhoren und die ubertragene Information 

3 0 zwischen Manager und Agent zu miSbrauchen. 

Die Codierungsregeln der Netzwerkprotokolle sind detailliert 
in (M. Rose, The Simple Book, PTR Prentice Hall, 2. Auflage, 
ISBN 0-13-177254-6, S. 59 - 91, 1994) beschrieben. 

35 

Bei der zweiten Version des SNMP, dem SNMPv2 waren zwar ver- 
schiedene Sicherheitsmechanismen vorgesehen, jedoch war ins- 
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besondere die Verwaltung kryptographischer Schlussel derart 
aufwendig, da& diese Problematik dazu fuhrte, daS das SNMPv2 
trotz erheblicher grofierer Moglichkeiten zur Verwaltung von 
Rechnernetzen verglichen mit SNMPvl, sich gegenuber dem 
SNMPvl nicht auf dem Markt durchsetzen konnte. Daher wurde 
der urspriingliche SNMPv2 Standard zuriickgezogen und durch ei- 
nen modif izierten Standard, bei dem keine Sicherheit inte- 
griert wurde, ersetzt. 

Auch CMIP, das aufgrund allgemein wesentlich groSerer Komple- 
xitat verglichen mit SNMPvl und SNMPv2 kaum Berucksichtigung 
in Produkten gefunden hat, konnte sich auf dem Markt nicht 
durchsetzen . 

Ferner ist das Konzept von sog. Proxy- Agenten ebenfalls in 
dem Dokument (M. Rose, The Simple Book, PTR Prentice Hall, 2. 
Auflage, ISBN 0-13-177254-6, S. 315, 1994) beschrieben . 

3 . Kurzbeschreibung der Erf indung 

Somit liegt der Erf indung das Problem zugrunde, Verfahren so 
wie eine Computersysteme zur Codierung, Ubertragung und Deco 
dierung einer digitalen Nachricht anzugeben, bei der krypto- 
graphische Sicherheit smechanismen vorgesehen sind, die einfa 
Cher sind als bei den bekannten Verfahren und Anordnungen. 

Bei dem Verfahren gemaS Patentanspruch 1 wird eine digitale 
Nachricht, die von der ersten Computereinheit zu der zweiten 
Computereinheit ubertragen werden soli, unter Verwendung ei- 
nes Codierungsf ormats eines Netzwerkprotokolls zu einer co- 
dierten Nachricht codiert . Die codierte Nachricht wird minde 
stens einem kryptographischen Verfahren unterzogen und die 
kryptographisch bearbeitete codierte Nachricht wird wiederum 
unter Verwendung des Codierungsf ormats des Netzwerkprotokoll 
codiert . 



GR 97 P 1798 



6 



Bei dem Verfahren gemafi Patentanspmch 2 wird die Nachricht 
entsprechend dem Codierungs format des Netzwerkprotokolls de- 
5 codiert. Ferner wird die decodierte kryptographisch bearbei- 
tete Nachricht einem zu dem mindestens einen kryptographi- 
schen Verfahren inversen kryptographischen Verfahren unterzo- 
gen und die invers kryptographisch bearbeitete Nachricht ent- 
sprechend dem Codierungs format des Netzwerkprotokolls deco- 
10 diert. 

Bei dem Verfahren gemaS Patentanspruch 3 wird eine digitale 
Nachricht, die von der ersten Computereinheit zu der zweiten 
Computereinheit ubertragen werden soli, unter Verwendung ei- 

15 nes Codierungsf ormats eines Netzwerkprotokolls zu einer co- 

dierten Nachricht codiert. Die codierte Nachricht wird minde- 
stens einem kryptographischen Verfahren unterzogen und die 
kryptographisch bearbeitete codierte Nachricht wird wiederum 
unter Verwendung des Codierungsf ormats des Netzwerkprotokolls 

2 0 codiert. Nach erfolgter Codierung wird die gesamte Nachricht 
von der ersten Computereinheit mindestens zur zweiten Compu- 
tereinheit ubertragen. Die empfangene Nachricht wird in der 
zweiten Computereinheit entsprechend dem Codierungsf ormat des 
Netzwerkprotokolls decodiert . Anschliefiend wird die decodier- 

25 te Nachricht dem zu dem verwendeten kryptographischen Verfah- 
ren inversen kryptographischen Verfahren unterzogen. In einem 
letzten Schritt wird die invers kryptographisch bearbeitete 
Nachricht entsprechend dem Codierungsf ormat des Netzwerkpro- 
tokolls decodiert. 

30 

Durch die "doppelte" Codierung bzw. Decodierung mit dem je- 
weiligen Netzwerkprotokoll wird eine sehr einfache, standard- 
konforme Losung vorgeschlagen, die Ubertragung von Nachrich- 
ten eines Netzwerkprotokolls kryptographisch abzusichern. 

35 
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Das Verfahren weist femer den erheblichen Vorteil der einfa- 
chen Realisierbarkeit und somit der schnellen Durchf uhrbar- 
keit mit Hilfe eines Rechners auf . 

Ein weiterer Vorteil ist darin zu sehen, daS die Netzwerkpro- 
tokolle unverandert bleiben. koimen und keine neuen Netzwerk- 
protokolle definiert werden miissen. Somit ist keine aufwendi- 
ge versionsumstellung oder gar Neudef inition von. Netzwerkpro- 
tokollen erforderlich. Die kryptographische Sicherheit des 
jeweiligen Netzwerkprotokolls kann ohne groSeren Aufwand er- 
heblich erhoht werden. 



Das Computersystem gemaS Patentanspruch 12 enthalt tnindestens 
eine Recheneinheit , die derart eingerichtet ist, daS das Ver- 
fahren nach einem der Anspriiche 1 bis 11 durchgefuhrt wird. 

Das Computersystem gemafi Patentanspruch 13 zur Codierung ei- 
ner digitalen Nachricht unter Verwendung eines Codierungsf or- 
mats eines Netzwerkprotokolls, umfafit mindestens folgende 
Komponenten : 

- ein erstes Mittel zur Codierung der digitalen Nachricht un- 
ter Verwendung des Codierungsf ormats des Netzwerkprotokolls 
zu einer codierten Nachricht, 

-.ein zweites Mittel zur kryptographischen Bearbeitung der 
codierten Nachricht, 

- ein drittes Mittel zur Codierung der kryptographisch bear- 
beiteten Nachricht unter Verwendung des Codierungsf ormats des 
Netzwerkprotokolls . 

Das computersystem gemafi Patentanspruch 14 zur Decodierung 
einer digitalen Nachricht, welches in einem Codierungsf ormat 
eines Netzwerkprotokolls vorliegt, umfaSt mindestens folgende 
Komponenten : 

-- ein fiinftes Mittel zum Empfangen der codierten kryptogra- 
phisch bearbeiteten Nachricht von der ersten Computereinheit , 
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-- ein sechstes Mittel zur Decodierung der empfangenen Nach- 
rxcht entsprechend dem Codierungsf ormat des Netzwerkproto- 
kolls , 

-- ein siebtes Mittel zur inversen kryptographischen Bearbei- 
tung der decodierten kryptographisch bearbeiteten Nachricht, 
und 

-- ein achtes Mittel zur Decodierung der invers kryptogra- 
phisch bearbeiteten Nachricht entsprechend dem Codierungsf or- 
mat des Netzwerkprotokolls . 

Das Computersystem gemaS Patentanspruch 15 zur Codierung ei- 
ner digitalen Nachricht, zur Ubertragung der Nachricht von 
einer ersten Computereinheit zu einer zweiten Computereinheit 
und zur Decodierung der Nachricht enhalt mindestens folgende 

Komponenten, 

- eine erste Computereinheit, die mindestens folgende Kompo- 
nenten umf alSt : 

-- ein erstes Mittel zur Codierung der digitalen Nachricht 
unter Verwendung eines Codierungsf ormats eines Netzwerkproto- 
kolls zu einer codierten Nachricht, 

-- ein zweites Mittel zur kryptographischen Bearbeitung der 
codierten Nachricht, 

-- ein drittes Mittel zur Codierung der kryptographisch bear- 
bexteten Nachricht unter Verwendung des Codierungsf ormats des 
Netzwerkprotokolls , 

-- ein viertes Mittel zum Senden der codierten kryptogra- 
phisch bearbeiteten Nachricht yon der ersten^ Computereinheit 
zu der zweiten Computereinheit, 

- eine zweite Computereinheit, die mindestens folgende Kompo- 

nenten umf aSt : 

-- ein funftes Mittel zum Empfangen der codierten kryptogra- 
phisch bearbeiteten Nachricht von der ersten Computereinheit 
-- em sechstes Mittel zur Decodierung der empfangenen Nach- 
richt entsprechend dem Codierungsf ormat des Netzwerkproto- 
kolls, 
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-- ein siebtes Mittel zur inversen kryptographischen Bearbei- 
tung der decodierten kryptographisch bearbeiteten Nachricht, 
und 

-- ein achtes Mittel zur Decodierung der invers kryptogra- 
5 phisch bearbeiteten Nachricht entsprechend dem Codierungs for- 
mat des Netzwerkprotokolls » 

Somit weisen die Computersysteme die oben im Zusatnmenhang mit 
dem Verfahren beschriebenen Vorteile ebenfalls auf . 

10 

Vorteilhafte Weiterbildungen der Erf indung ergeben sich aus 
den abhangigen Anspruchen. 

Besonders vorteilhaft ist das Verfahren im Zusammenhang mit 
15 SNMPvl als Netzwerkprotokoll anwendbar, da fur SNMPvl bisher 
praktisch keine kryptographische Sicherheit vorhanden ist. 

Doch auch bei den anderen Netzwerkprotokollen kann dieses 
Verfahren und die entsprechende Anordnung zur Durchfuhrung 
20 des Verfahrens verwendet werden, da auch dort die Gesamtkom- 
plexitat des jeweiligen Netzwerkprotokolls erheblich redu- 
ziert wird. 

Ferner ist es bei dem Computersystem vorteilhaft, ein zweites 
Mittel zur kryptographischen Bearbeitung der codierten Nach- 
richt, ein drittes Mittel zur Codierung der kryptographisch 
bearbeiteten Nachricht unter Verwendung des Codierungsf ormats 
des Netzwerkprotokolls sowie ein viertes Mittel zum Senden 
der codierten kryptographisch bearbeiteten Nachricht zu der 

30 zweiten Computereinheit als einen sog. Proxy-Agenten auszuge- 
stalten, der xiber eine als gesichert angenommene Kommunikati- 
onsverbindung zu dem ersten Mittel zur Codierung der digita- 
len Nachricht unter Verwendung des Netzwerkprotokolls' verbun- 
den ist. Der erste Proxy-Agent und die erste Computereinheit 

3 5 konnen gemeinsam in einer Computereinheit oder auch in zwei 
unterschiedlichen Computereinheiten realisiert sein. 
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Auf diese Weise wird unter Verwendung der Proxy -Technik, die 
aus dem Dokument (M. Rose, The Simple Book, PTR Prentice 
Hall, 2. Auflage, ISBN 0-13-177254-6, S. 315, 1994) bekannt 
ist, die Realisierung eines Computersystems zur kryptogra- 
phisch sicheren Ubertragung von Nachrichten des Codierungs- 
formats eines Netzwerkprotokolls erreicht. 

Dieser Vorteil ist ebenso dann gegeben, wenn ein. funftes Mit- 
tel zum Empfang der codierten kryptographisch bearbeiteten 
Nachricht, ein sechstes Mittel zur Decodierung der empfange- 
nen Nachricht entsprechend dem Codierungsf ormat des Netzwerk- 
protokolls sowie ein siebtes Mittel zur inversen kryptogra- 
phischen Bearbeitung der decodierten kryptographisch bearbei- 
teten Nachricht zusammen in einem zweiten Proxy-Agenten rea- 
lisiert sind, der iiber eine als gesichert angenommene Kommu- 
nikationsverbindiing mit dem Agenten der zweiten Computerein- 
heit unter Verwendung des Netzwerkprotokolls verbunden ist. 

4. Rurzbeschreibung der Figuren 

In den Fig. ist ein Ausfuhrungsbeispiel der Erfindung darge- 
stellt, die im weiteren naher erlautert wird. 

Es zeigen 

Fig. 1 ein Ablaufdiagramm, in dem das erf indungsgemaiSe 
Verfahren mit Realisierungsdetails fiir einen 
Get -Request dargestellt ist; 

Fig. 2 ein Ablaufdiagramm, in dem das Verfahren in seinen 
Verfahrensschritten mit Realisierungsdetails fiir 
einen Set -Request dargestellt ist; 

Fig. 3 ein Ablaufdiagramm, in dem das Verfahren in 
abstrakter Form dargestellt ist; 

Fig. 4 eine Skizze eines moglichen Aufbaus einer krypto- 
graphisch bearbeiteten SNMPvl -Nachricht ,• in der der 
Sicherheitsmechanismus der Authentif ikation der 
Originaldaten realisiert wird; 

Fig. 5 der Aufbau einer moglichen kryptographisch bearbei- 
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teten SNMPvl-Nachricht , mit der die Sicherheits- 
dienste Integritat und Vertraulichkeit der ubertra- 
genen SNMPvl-Nachricht realisiert wird; 
Fig. 6 der mogliche Aufbau einer kryptographisch bearbei- 
teten SNMPvl-Nachricht, in der der Sicherheits- 
dienst der Vertraulichkeit der SNMPvl-Nachricht 
realisiert wird; 

5 . Figurenbeschreibiing 

Get-Request 



In Fig. 1 sind eine erste Computereinheit CI und eine zweite 
Computereinheit C2 symbolhaft dargestellt . Die erste Cotnpu- 
15 tereinheit CI weist eine Managerapplikation MA des SNMPvl so- 
wie einen ersten Proxy-Agenten PAl auf . 

Die zweite Computereinheit C2 weist einen SNMPvl -Agenten AG 
sowie einen zweiten Proxy-Agenten PA2 auf Seiten der zweiten 
20 Computereinheit C2 auf. 

In einem ersten Schritt 101 wird in der ersten Computerein- 
heit CI ein Get-Request gebildet . Unter der Bildung eines 
Get-Requests ist zu verstehen, daS eine digitale Nachricht 
unter Verwendung eines Codierungsf ormats des SNMPvl - 
Netzwerkprotokolls zu einer codierten Nachricht, dem Get- 
Request, codiert wird. Dies erfolgt in einem ersten -Mittel 
101 der ersten Computereinheit CI zur Codierung der digitalen 
Nachricht unter Verwendung des Codierungsf ormats des Netz- 
30 werkprotokolls. 

In einem zweiten Schritt 102 wird der Get -Request, d.h. die 
codierte Nachricht CN von dem ersten Mittel Ml zu dem ersten 
Proxy-Agenten PAl auf der Seite der ersten Computereinheit CI 
3 5 gesendet. 
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In dem ersten Proxy-Agenten PAl wird in einem dritten Schritt 
103 die codierte Nachricht CN empfangen. 

In einem vierten Schritt 104 wird die codierte Nachricht CN 
in dem ersten Proxy-Agenten PAl mindestens einem kryptogra- 
phischen Verfahren unterzogen. Zur kryptographischen Bearbei- 
tung der codierten Nachricht in dem vierten Schritt 104 wird 
ein zweites Mittel 104 eingesetzt. 

Unter einem kryptographischen Verfahren ist jedes beliebige 
kryptographische Verfahren z.B. zur Authentif ikation, zur Si- 
cherung der Datenintegritat oder auch zur Vers chliisse lung von 
digitalen Daten zu verstehen. Hierbei konnen beispielsweise 
das RSA-Verfahren oder auch der Data-Encryption-Standard, der 
als DES-Verfahren bezeichnet wird, Verwendung finden. 

Als Ergebnis erhalt man eine kryptographisch bearbeitete 
Nachricht KBN, deren Format beispielsweise in den Fig. 3 bis 
6 dargestellt ist und im weiteren naher erlautert wird. 

In einem funften Schritt 105 wird die kryptographisch bear- 
beitete Nachricht KBN wiederum unter Verwendung des Codie- 
rungsformats des SNMP-Netzwerkprotokolls codiert . Unter die- 
sem Verfahrensschritt ist zu verstehen, daS der kryptogra- 
phisch bearbeitete Get-Request vorzugsweise in einem Set- 
Request codiert wird, d.h. eingekapselt wird.. Ferner ist ein 
drittes Mittel 105 zur Codierung der kryptographisch bearbei- 
teten Nachricht unter Verwendung des Codierungs formats des 
Netzwerkprotokolls vorgesehen. 

Wie im weiteren deutlich wird, ist es vorteilhaft, jede Art 
von Nachricht, die von der ersten Computereinheit CI zu der 
zweiten Computereinheit C2 libertragen werden soil, in dem 
funften Schritt 105 als Set-Request zu codieren." Dies ist 
vorteilhaft, da die Syntax von SNMPvl fur einen Get-Request 
lediglich Object -indentifiers als zu iibertragende Nutzdaten 
erlaubt. Es ist bei SNMPvl nicht moglich, die kryptographisch 
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bearbeitete Information in einem SNMP-Get-Request einzubin- 
den. 

In einem sechsten Schritt 106 wird der Set -Request als co- 
dierte kryptographisch bearbeitete Nachricht CKN von der er- 
sten Computereinheit CI zu-der zweiten Computereinheit C2 , 
d.h. von dem ersten Proxy-Agenten PAl zu einem zweiten Proxy- 
Agenten PA2 ubertragen. 

Von dem zweiten Proxy-Agenten PA2 der zweiten Computereinheit 
C2 wird die codierte kryptographisch bearbeitete Nachricht 
CKN in einem siebten Schritt 107 empfangen. Hierzu ist ein 
fiinf tes Mittel 107 zum Empfangen der codierten rkryptogra- 
phisch bearbeiteten Nachricht CKN vorgesehen. 

In einem achten Schritt 108 wird von dem zweiten Proxy- 
Agenten PA2 standardkonform eine Get -Response als Antwort auf 
den Set -Request an den ersten Proxy-Agenten PAl der ersten 
Computereinheit CI gesendet . Der Get -Response enthalt als Be- 
statigung den jeweiligen Fehlerzustand. 

In einem neunten Schritt 109 wird die empfangene codierte ' 
kryptographisch bearbeitete Nachricht CKN unter . Verwendung 
des Codierungsf ormats des Netzwerkprotokplls entkapselt, d.h. 
decodiert. Es ist ein sechstes Mittel 109 zur Decodierung der 
empfangenen Nachricht entsprechend dem Codierungsf ormat des 
SNMPvl-Protokolls vorgesehen. 

In einem zehnten Schritt 110 wird von dem zweiten Proxy- 
Agenten PA2 das zu dem jeweils vorgesehenen kryptographischen 
Verfahren inverse kryptographische Verfahren beispielsweise 
zur Authentif ikation, zur Entschliisselung bzw. zur Sicherung 
der Integritat der libertragenen Daten auf die decodierte 
kryptographisch bearbeitete Nachricht DKN angewendet . Hierzu 
ist ein siebtes Mittel 110 zur inversen kryptographischen Be- 
arbeitung der decodierten kryptographisch bearbeiteten Nach- 
richt DKN vorgesehen. 
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Weiterhin wird die invers kryptographisch bearbeitete Nach- 
richt IKN, d.h. der originale Get-Request, von dem zweiten 
Proxy-Agenten PA2 zu der Agentenapplikation AG der zweiten 
Computereinheit C2 gesendet . 

In einem elf ten Schritt 111 wird der Get -Request von dem 
Agenten AG empfangen. Hierzu ist ein achtes Mittel ill Emp- 
fangen des Get -Requests vorgesehen. 

In einem weiteren Schritt 112 wird die invers kryptographisch 
bearbeitete Nachricht entsprechend dem Codierungs format des 
SNMPvl-Protokolls zu der digit alen Nachricht decodiert, d.h. 
ausgewertet. Dies bedeutet, daS fiir den Spezialfall des Get- 
Requests die liber den Get-Request angeforderte Information 
eines Werts eines sog. Managed Objects (MO), der in der MIB 
des Agenten AG gespeichert ist, ausgelesen wird. Die Angabe, 
welche Information tatsachlich angefordert wird, ist als Ob- 
ject-Identifier in dem urspriinglichen Get -Request enthalten. 

Es wird also in dem zwolften Schritt 112 die angeforderte Ak- 
tion ausgefiihrt, in diesem Fall das Auslesen der angef order- 
ten Information, einen Wert eines Managed Objects. Hierzu ist 
ein neuntes Mittel 112 zur Durchfuhrung der angef orderten Ak- 
tion vorgesehen. 

Wie es in SNMPvl vorgesehen ist, wird ,yon dem Agenten AG in 
der zweiten Computereinheit als Antwort auf einen Get -Request 
ein Get-Response gebildet und in einem dreizehnten Schritt 
113 zu dem zweiten Proxy-Agenten PA2 gesendet. Der Get- 
Response erhalt das Ergebnis der Aktion, die von der ersten 
Computereinheit CI in dem Get -Request angefordert wurde. 

Der Get -Response wird im weiteren als Ant wort nachricht AN be- 
zeichnet. Die Antwortnachricht AN kann entweder direkt zu der 
ersten Computereinheit Cl iibertragen werden oder, zur weite- 
ren Erhohung der kryptographischen Sicherheit, entsprechend 
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dem Codierungsformat des Netzwerkprotokolls noch einmal co- 
diert warden. Es ist in der zweiten Computereinheit C2 ein 
zehntes Mittel 112 zum Senden des Ergebnisses der Aktion zu 
der ersten Computereinheit CI vorgesehen. 

Weiterhin ist ein elftes Mittel 113 zur Bildung der Antwort- 
nachricht AN vorgesehen, die das Ergebnis der Aktion enthalt 
und zur Codierung der Antwortnachricht AN entsprechend dem 
Codierungsformat des SNMPvl-Protokolls . 

In einem vierzehnten Verf ahrensschritt 114 wird von dem zwei- 
ten Proxy-Agenten PA2 die Antwortnachricht AN empfangen. 
Hierzu ist ein zwolftes Mittel 114 zum Empfangen der Antwort- 
nachricht AN vorgesehen. 

In einem fiinfzehnten Schritt 115 wird die codierte Antwort- 
nachricht AN mindestens einem kiryptographischen Verf ahren un- 
terzogen. Hierfiir ist ein dreizehntes Mittel 115 zur Bearbei- 
tung der Antwortnachricht AN mit mindestens einem kryptogra- 
phischen Verf ahren vorgesehen. Das Ergebnis dieses Verfah- 
rensschritts ist eine in einem Sicherheitsrahmen eingekapsel- 
te Get -Response . 

Die kryptographisch bearbeitete Antwortnachricht^ KBAN wird in 
einer Sicherheits-MIB in dem zweiten Proxy-Agenten PA2 ge- 
speichert (Schritt 116) . Der Aufbau der Sicherheits-MIB wird 
im weiteren detailiert beschrieben. 

Urn die kryptographisch bearbeitete Antwortnachricht KBAN zu 
erlangen, wird von dem ersten Proxy-Agenten PAl der ersten 
Computereinheit CI ein Get -Request, d.h. eine Abruf nachricht 
ABN gebildet. Hierfiir ist ein yierzehntes Mittel 117 zur Bil- 
dung und Codierung der Abruf nachricht ABN entsprechend dem 
Codierungsformat des SNMPvl-Protokolls vorgesehen, mit der 
die kryptographisch bearbeitete Antwortnachricht KBAN von der 
zweiten Computereinheit C2 angefordert wird. Ferner wird die 
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codierte Abrufnachricht ABN von der ersten Computereinheit CI 
zu der zweiten Computereinheit C2 gesendet . 

In einem achtzehnten Schritt 118 wird in dem zweiten Proxy- 
Agenten PA2 die Abrufnachricht ABN, d.h. in diesem Fall der 
Get-Request, empfangen und ^standardkonf orm der ubliche Get- 
Response, der in diesem Fall die kryptographisch bearbeitete 
Antwortnachricht KBAN enthalt, an den ersten Proxy-Agenten 
PAl gesendet. Hierzu ist in der zweiten Computereinheit C2 
ein funfzehntes Mittel 118 zum Empfangen der Abrufnachricht 
ABN und zur Codierung der in der Abrufnachricht ABN angefor- 
derten kryptographisch bearbeiteten Antwortnachricht KBAN 
entsprechend dem Codierungsf ormat des SNMPvl-Protokolls, d.h. 
zur Codierung des angef orderten Get -Response vorgesehen. 

Die codierte kryptographisch bearbeitete Antwortnachricht 
wird von dem zweiten Proxy-Agenten PA2 zu dem ersten Proxy- 
Agenten PAl iibertragen. 

In einem weiteren Schritt 119 wird in dem ersten Proxy- 
Agenten PAl die codierte kryptographisch bearbeitete Antwort- 
nachricht, enthalten in der standardkonf ormen Get -Response , 
empfangen. Hierfur ist ein sechzehntes Mittel 119 zum Empfan- 
gen der Get -Response in der ersten Computereinheit CI vorge- 
sehen. 



In einem weiteren Schritt 12 0 wird der Get -Request decodiert, 
d.h. entkapselt und der urspriinglich von dem Agenten AG der 
zweiten Computereinheit C2 gebildete Get -Response zu der Ma- 
nagerapplikation MA der ersten Computereinheit CI gesendet. 
Hierfur ist ein siebzehntes Mittel 12 0 vorgesehen zum Deco- 
dieren der Get -Response und zum Senden der ursprunglichen, in 
der Get-Response enthaltenen Get-Response, die die angef or- 
derte Information enthalt, zu der Managerapplikation MA. 

In einem letzten Schritt 121 wird die Get-Response von der 
Managerapplikation MA empfangen und der angef orderte Wert 
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ausgewertet und abgespeichert . Hierfiir ist ein achtzehntes 
Mittel 121 zum Empfangen und Auswerten von Management informa- 
tion in der Managerapplikation MA vorgesehen. 

Auf diese Weise wird erreicht, dafi ohne groSen Mehraufwand 
und ohne das Verfahren des -SNMPvl-Protokolls andert zu miis- 
sen, eine kryptographische Sicheirung der Kommunikation mog- 
lich wird. 

Ge t - Next - Reque s t 

Fur einen Get -Next -Request , der ebenfalls imRahmen des 
SNMPvl-Protokolls vorgsehen ist, wird das Verfahren auf die 
gleiche Weise, wie ftir den Get-Request beschrieben, durchge- 
fuhrt, lediglich mit einem veranderten, entsprechend angepaS- 
ten Object -Identifier fur den angef orderten Wert des jeweili- 
gen Managed Objects. 

Set-Request 

In Fig. 2 ist das Verfahren fur einen Set -Request als codier- 
te digitale Nachricht CN dargestellt. Zur einfacheren Erlau- 
terung wird lediglich das Verfahren im weiteren beschrieben, 
die Mittel sind entsprechend ausgestaltet , daS die einzelnen 
Verf ahrensschritte mit den Computereinheiten CI, C2 durchge- 
fiihrt werden konnen. 

In einem ersten Schritt 201 wird der Set-Request, d.h. die 
digitale Nachricht codiert . 

In einem zweiten Schritt 202 wird von dem Manager MA der er- 
sten Computereinheit der Set -Request , d.h. ^ die codierte Nach 
richt CN zu dem ersten Proxy-Agenten PAl gesendet . 

In einem dritten Schritt 203 wird die codierte Nachricht CN 
von dem ersten Proxy-Agenten PAl empfangen. 
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In einem vierten Schritt 204 wird ein kryptographisches Ver- 
fahren auf die codierte Nachricht CN angewendet . Das Ergebnis 
der kryptographischen Bearbeitung ist eine kryptographisch 
bearbeitete Nachricht KBN. 

5 

In einem funften Schritt 2 05 wird die kryptographisch bear- 
beitete Nachricht KBN wiederum unter Verwendung des Codie- 
rungsformats des SNMPvl-Protokolls codiert zu einer codierten 
kryptographisch bearbeiteten Nachricht CKN. Hierfiir wird wie- 
10 derum ein Set -Request verwendet. 

Der Set -Request wird von dem ersten Proxy-Agenten PAl zu dem 
zweiten Proxy-Agenten PA2 gesendet (Schritt 206). 

15 In einem siebten Schritt 207 wird von dem zweiten Proxy- 
Agenten PA2 der Set -Request empfangen. 

Als Reaktion auf den Empfang des Set -Requests sendet stan- 
dardkonform der zweite Proxy-Agent PA2 eine Get -Response, die 
20 als Bestatigung den Fehlerzustand enthalt (Schritt 208) . 

In einem weiteren Schritt 209 wird die codierte kryptogra- 
phisch bearbeitete Nachricht decodiert, d.h. "ausgepackt " . 
Das Ergebnis ist die decodierte kryptographisch bearbeitete 
25 Nachricht DKN. 

In einem zehnten Schritt 210 wird jeweils das zu dem verwen- 
deten kryptographischen Verfahren inverse kryptographische 
Verfahren auf die kryptographisch bearbeitete Nachricht DKN 
30 angewendet. Ferner wird die invers kryptographisch bearbeite- 
te Nachricht IKN, d.h. der urspriingliche Set -Request von dem 
zweiten Proxy-Agenten PA2 zu dem Agenten AG der zweiten Com- 
putereinheit C2 gesendet. 

35 In einem elften Schritt 211 wird von dem Agenten AG die deco- 
dierte kryptographisch bearbeitete Nachricht empfangen und in 
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einem weiteren Schritt 212 die in dem Set-Request angegebene 
Aktion durchgef uhrt , 

Als Reaktion sendet der Agent AG der zweiten Computereinheit 
C2 standardkonf orm die Antwortnachricht AN in Form eines Get- 
Response zu dem zweiten Proxy-Agenten PA2 (Schritt 213) . 

In einem vierzehnten Schritt 214 empfangt der zweite Proxy- 
Agent PA2 die Antwortnachricht AN. 

In einem fiinf zehnten Schritt 215 wird wiederum auf die Ant- 
wortnachricht AN mindestens ein vorgebbares kryptographisches 
Verf ahren angewendet . 

Die weiteren Verf ahrensschritte 216, 217, 218, 219, 220 sowie 
221 entsprechen den in Zusammenhang mit einem Get -Request be- 
schriebenen Verf ahren, den Verf ahrensschritten 116, 117, 118, 
119 , 120 sowie 121 . 

Die Sicherheits-MIB enthalt Eintrage, die in ihrer Struktur 
die iibliche Syntax zur Beschreibung von Mananged-Objects ver- 
wendet. Eintragen in der Sicherheits-MIB werden eindeutige 
Object-Identifiers zugeordnet, die zur eindeutigen Identifi- 
zierung der Eintrage in der Sicherheits-MIB verwendet werden. 
Die Object -Identifiers werden in der globalen SNMP-MIB regi- 
striert. Damit wird erreicht, dafi der Zweck und die Syntax 
des jeweiligen Managed-Objects bekannt ist . Die verschiedenen 
Eintrage der Sicherheits-MIB konnen beispielsweise entweder 
digital unterzeichnete , integritatsgeschutzte , oder ver- 
schlusselte Managementinf ormation enthalten. Selbstverstand- 
lich konnen beliebige Kombinationen der oben beschriebenen 
Mechanismen in der Sicherheits-MIB eingetragen sein und somit 
im Rahmen des Verfahrens beriicksichtigt werden. 

Im weiteren wird eine mogliche Beispiel-Syntax in ASN.l 
(Abstract Syntax Notation One) einer solchen Sicherheits-MIB 
dargestellt . 
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Die Syntax eines sicheren, eingekapselten Managed- Objects ist 
OCTET STRING. Der Aufbau eines solchen eingekapselten Mana- 
ged-Objects ist wie folgt: 
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SecureMO : : = 

SEQUENCE { 

PlainHeader , 
EncapsulatedData 

} 

PlainHeader : : = 
SEQUENCE { 

SecurityAssociationID, 
UsedAlgorithms , 
AlgorithmParameters 

} 



EncapsulatedData : : = OCTET 
-- signed, encrypted, 
-- ASN. 1- encoded data 



STRING 

or integrity protected 



SecurityAssociationID ::= OBJECT IDENTIFIER 



UsedAlgorithms ::= INTEGER {0..7) 

-- value 0 stands for „no security" 
value 1 stands for „signed" 
value 2 stands for „ integrity protected"' 
-- value 3 stands for „ signed" and „ integrity protected" 

value 4 stands for ^encrypted" 
-- value 5 stands for „ signed" and „ encrypted" 
value 6 stands for „ integrity protected" and 
„ encrypted" 

value 7 stands for „ signed", „ integrity protected" 
and „ encrypted" 

AlgorithmParameters ::= 

necessary parameters for the particular 
-- algorithms in use 
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Der Wert des Parameters UsedAlgorithms wird nach dem folgen- 
den Schema gebildet. Er kann als Bit-String der Lange 3 Bit 
reprasentiert werden, wobei das Bit niedrigster Wertigkeit 
die Verwendung digitaler Signatur („ signed") anzeigt, das Bit 
mit zweitniedrigster Wertigkeit beispielsweise anzeigt, ob 
Mechanismen zur Sicherung der Datenintegritat vorgesehen sind 
(„ integrity protected"), und das Bit mit der hochsten Wertig- 
keit beschreibt, ob die Daten verschlusselt vmrden 
{„ encrypted") . 

Somit kann das Ergebnis jeder kryptographischen Bearbeitung 
einer Nachricht als ein Bit -String mit der Lange 3 beschrie- 
ben werden. Die kryptographisch bearbeitete Nachricht wird 
als OCTET STRING codiert . Besteht sie aus einer nicht durch 8 
teilbaren Anzahl von Bits, so kann sie jedoch durch Anwendung 
eines sog. Paddings, d.h. durch Auffullen von Bits ohne se- 
mantische Bedeutung, zu einem OCTET STRING erweitert werden. 

Diese Situation ist beispielhaft in einem Ablauf diagramm in 
Fig. 3 dargestellt. 

Ein SNMPvl -Request SR wird gemaS den Vorsphriften zur Codie- 
rung des jeweiligen Netzprotokolls in ASN.l 

(Codierungsregeln, Syntaxdef inition, ER) codiert 301. Der co- 
dierte SNMP-Reguest CSR, d.h. die codierte Nachricht CN wird 
in einem zweiten Schritt 3 02 dem jeweiligen kryptographischen 
Verfahren unterzogen. Hierbei werden beispielsweise krypto- 
graphische Schliissel, Parameter zur Angabe des verwendeten 
Algorithmus, sowie zusatzliche Information, allgemein krypto- 
graphische Information VI, zur Durchfuhrung des jeweiligen 
kryptographischen Verfahrens verwendet. 

Der sich ergebende Bit -String BS wird beispielsweise durch 
Auffullen von Fullbits in einem Schritt 3 03 zu einem OCTET 
STRING OS konvertiert, z.B. unter Verwendung von Padding PA. 



GR 97 P 1798 



23 

Die abstrakte Vorgehensweise zur inversen kryptographischen 
Bearbeitung wird entsprechend umgekehrt durchgef uhrt . 

Es ist vorteilhaft, existierende Funktionen zur Sicherung der 
Kommunikation im Rahmen von SNMPvl dort anzuwenden, wo es 
moglich ist und diese Sicherheitsf unktionen mit weiteren 
kryptographischen Verfahren zu verstarken, wo es notig ist. 

So ist es vorteilhaft, das Konzept von Community- Strings in 
SNMPvl auch im Rahmen dieses Verfahrens zu verwenden. Im Rah- 
men des Konzepts einer Community werden Gruppen def iniert und 
den einzelnen Gruppen Zugrif f srechte fur die jeweiligen Mit- 
glieder der Gruppe zugeordnet . Eine Community und die der 
Community zugeordneten Zugrif f srechte sind Teil einer Konfi- 
guration eines SNMPvl -Agenten . Es ist vorteilhaft, jeweils 
Communities mit spezifischen Sicherheitsmechanismen zu asso- 
ziieren. So ist es beispielsweise moglich, einer Community 
unterschiedliche kryptographische Algrorithmen, kryptographi- 
sche Schliissel und entsprechende Parameter, die im Rahmen des 
kryptographischen Verfahren jeweils verwendet werden, Mit- 
gliedern der Community zuzuordnen. 

Standardkonforme Object -Identifier werden vorzugsweise als 
Angaben verwendet, welche in kryptographischen Verfahren ver- 
wendet werden sollen . 

Bei der Sicherheitskonf iguration wird vorzugsweise . anstelle 
von kryptographischen Schliisseln Objeict- Identifier auf ge- 
speicherte kryptographische Schliissel verwendet, die im wei- 
teren als Schlussel- Identifier bezeichnet werden. Durch diese 
Vorgehensweise wird das jeweilige Schlusselmaterial besser 
gesichert . 

Weiterhin kann das jeweilige Schlusselmaterial dadurch star- 
ker geschiitzt werden, daS beispielsweise die Dateien, in de- 
nen die kryptographischen Schlussel gehalten werden, ver- 
schlusselt werden oder spezielle Hardwareeinheiten zum Schutz 
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der kryptographischen Schliissel vorgesehen sind, beispiels- 
weise Chipkarten. 

Die jeweils zu verwendenden Realisierungsdetails ergeben sich 
aus der Sicherheitspolitik, die entsprechend der Anwendung 
stark variieren kann. 

Authentifikation des Datenursprungs 

Urn den Sicherheitsdienst der Authentifikation der Ursprungs- 
daten zu erreichen kann beispielsweise folgende Information 
in der kryptographisch bearbeiteten Nachricht vorgesehen sein 
(vgl . Fig. 4) . 

Der SNMPvl -Request, d.h. die codierte Nachricht CN, wird 
durch die kryptographische Bearbeitung mit folgenden Header- 
bzw. Trailer- Informationen umkapselt, wodurch die kryptogra- 
phisch bearbeitete Nachricht KBN entsteht. 

Ein Authent if ikations -Header AH enthalt einen Schliissel - 
Identifier KID, mit dem der jeweils zu verwendende kryptogra- 
phische Schlussel angegeben ist iiber einen Object- Identifier, 
einen Algorithm- Identifier AID, mit dem der jeweils zu ver- 
wendende kryptographische Algorithmus zur, Authentifikation 
angegeben ist, Algorithmus -Parameter AP, mit denen angegeben 
wird, welche Parameter im Rahmen der Authentifikation verwen- 
det werden, ein Zeitstempel TS sowie eine Zufallszahl RN. 

Ferner ist als Trailerinf ormation TI eine digitale Signatur 
DS vorgesehen. Als Algorithmus zur Authentifikation kann bei- 
spielsweise das asymmetrische RSA-Verf ahren eingesetzt wer- 
den. 

Zugriffskontrolle fiir Managementinf ormation 

Die SNMPvl -Zugriffskontrolle basiert auf zwei Mechani 



smen. 
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Erstens wird jedem Managed-Object in einer MIB ein Zugriffs- 
kontrollwert zugeordnet, der einen der drei folgenden Werte 
auf weist : 

Read-Only, 

Read-Write, 

Write-Only, 

Not -Accessable . 

Zweitens wird jeder Community in dem SNMPvl- 

Agentenkonf iguration ein sog. MIB-View zusammen mit den je- 
weiligen Zugrif f srechten zugeordnet. Ein MIB-View enthalt ei- 
ne vorgebbare Anzahl von Object-Identif iern, die die jeweili- 
gen Unterbaume oder sog. Blatter des SNMP-Registratur-Baums 
bezeichnet . 

Die jeweiligen Zugrif fsrechte weisen einen der folgenden Wer- 
te auf : 

Read Only, 

Write-Only, 

Read-Write, 

None . 

Sicherung der Datenintegritat eines SNMP-Requests 

Zur Sicherung der Datenintegritat wird ein Mechanismus zur 
kryptographischen Sicherung der Datenintegritat eingesetzt. 
Hierfiir werden Datenintegritatspriif summen iiber den gesamten 
SNMPvl -Request oder einen Teil davon gebildet. Dies kann bei- 
spielsweise mittels des DES im sog. Cipher-Block-Chaining- 
Mode (CBC-Modus) erfolgen. Fur diesen speziellen Mechanismus 
ist die Verwendung eines 64 Bit langen Inititalisierungswerts 
erforderlich, der jeder Partei der jeweiligen Sicherheits- 
gruppe bekannt sein mu6. Der Intitialisierungswert ist Teil 
der Algorithmusparameter AP, die in der Header- Information HI 
der kryptographisch bearbeiteten Nachricht KBN veirwendet wird 
(vgl. Fig. 5). Ferner weist die Header- Information HI einen 
Schlussel- Identifier KID sowie einen Algorithmus- Identifier 
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AID auf , deren Funktionalitat gleich ist wie bei der Authen- 
tif ikation. 

Ferner ist in einer Trailer- Information TI ein Integri- 
tatspriifwert ICV vorgesehen. 

Verschluseeliing von SNMPvl -Requests 

Vertraulichkeit der ubertragenen SNMPvl-Daten kann auf ahnli- 
che Weise erfolgen, wie die Sicherung der Datenintegritat . 
Zur Verschiasselung kann beispielsweise wiederum das DES- 
Verfahren im CBC-Modus verwendet werden. In diesem Fall ist 
wiederum ein Initialisierungswert als Algorithrausparameter AP 
und einer Header- Information HI der kryptographisch bearbei- 
teten Nachricht KBN erforderlich (vgl. Fig. 6). 

Wiederum ist in der Header- Information HI ein Schliissel- 
Identifier KID sowie ein Algorithmus- Identifier AID mit oben 
beschriebener Funktionalitat vorgesehen. 

Weiterhin konnen Mechanismen zur Protokollierung der Kommuni- 
kation sowie zur Alarmgebung bei Auf f inden, von Angrif f sversu- 
chen vorgesehen sein. 

Das Verfahren und das Computersystem konnen sehr vorteilhaft 
im Rahmen eines Szenarios verwendet werden, bei dem ein An- 
bieter eines Kommunikationsnetzes Bandbreite des Kommunikati- 
onsnetzes einem Dienstanbieter zur Verfiigung stellt, der 
Dritten zusatzliche Dienste zur Verfiigung stellt, die das 
Kommunikationsnetz als solche nicht vorsieht. In diesem Zu- 
sammenhang kann das Verfahren sowie das Computersystem vor- 
teilhaft beispielsweise zur Kontrolle oder auch zur Abrech- 
nung der von dem Anbieter des gesamten Kommunikationsnetzes 
zur Verfugung gestellten Resourcen dienen. In diesem Fall 
wird der Manager auf einem Computer des Anbieters des gesam- 
ten Kommunikationsnetzes realisiert sein und ein Agent je- 
weils bei dem Anbieter zusatzlicher Dienste. 
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In einer Variants des oben beschriebenen Ausfuhrungsbeispiels 
ist es vorgesehen, die Antwortnachricht direkt, ohne Warten 
auf eine Abruf nachricht , zu codieren und an die erste Compu- 
5 tereinheit zu senden. Somit sind folgende Schritte in der 
zweiten Computereinheit ni<:ht erf orderlich: 

- die Codierung einer Abruf nachricht entsprechend dem Codie- 
rungsformat des Netzwerkprotokolls in der ersten Computerein- 
heit, mit der die kryptographisch bearbeitete Antwortnach- 

10. richt von der zweiten Computereinheit angefordert wird, 

- die Ubertragung der Abruf nachricht von der ersten Compu- 
tereinheit zu der zweiten Computereinheit, sowie 

- das Empfangen der Abruf nachricht . 

15 Entsprechendes gilt fur das Computersystem. 

Anschaulich kann das Verfahren derart beschrieben werden, daS 
zu dem standardkonf ormen Netzwerkprotokoll z.B. dem SNMPvl- 
Protokoll auf den jeweiligen SNMP-Request oder auch CMIP- 
20 Request, ein kiryptographisches Verfahren angewendet wird, mit 
dem eine kryptographische Sicherung des SNMP-Requests bzw. 
dem CMIP-Request erreicht wird. Um jedoch die Verwendung 
standardkonf ormer SNMP-Verf ahren zu ermoglichen, wird die 
kryptographisch bearbeitete Nachricht wiederum mit dem jewei- 
ligen Codierungs format des Netzwerkprotokolls codiert . Dies 
entspricht einer "doppelten" Anwendung des jeweiligen Netz- 
werkprotokolls auf die zu codierende Nachricht. 
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Patent ansprviche 



1. Verfahren zur Codierxing einer digitalen Nachricht unter 
Verwendung eines Codierungsf ormats eines Netzwerkprotokolls, 

- bei dem die Nachricht unter Verwendung des Codierungsf or- 
mats des Netzwerkprotokolls zu einer codierten Nachricht co- 
diert wird, 

- bei dem die codierte Nachricht mindestens einem kryptogra- 
phischen Verfahren unterzogen wird, und 

- bei dem die kryptographisch bearbeitete Nachricht unter 
Verwendung des Codierungsf ormats des Netzwerkprotokolls co- 
diert wird. 

2. Verfahren zur Decodierung einer digitalen Nachricht, wel- 
ches in einem Codierungsf ormat eines Netzwerkprotokolls vor- 
liegt , 

- bei dem die Nachricht entsprechend de.m Codierungsf ormat des 
Netzwerkprotokolls decodiert wird, 

- bei dem die decodierte kryptographisch bearbeitete Nach- 
richt einem zu dem mindestens einen kryptographischen Verfah- 
ren inversen kryptographischen Verfahren unterzogen wird, und 

- bei dem die invers kryptographisch bearbeitete Nachricht 
entsprechend dem Codierungsf ormat des Netzwerkprotokolls de- 
codiert wird. 

3. Verfahren zur Codierung einer digitalen Nachricht, zur 
Ubertragung der Nachricht von einer ersten Computereinheit zu 
einer zweiten Computereinheit und zur Decodierung der Nach- 
richt , 

- bei dem in der ersten Computereinheit folgende Schritte 
durchgefuhrt werden: 

-- die Nachricht wird unter Verwendung eines Codierungsf or- 
mats eines Netzwerkprotokolls zu einer codierten Nachricht 
codiert , 

-- die codierte Nachricht wird mindestens einem kryptographi- 
schen Verfahren wird. 
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die kryptographisch bearbeitete Nachricht wird unter Ver- 
wendung des Codierungsf ormats des Netzwerkprotokolls codiert, 

- bei dem die codierte kryptographisch bearbeitete Nachricht 
von der ersten Computereinheit zu der zweiten Computereinheit 
ubertragen wird, 

- bei dem in der zweiten Computereinheit folgende Schritte 
durchgefuhrt werden: 

die empfangene Nachricht wird entsprechend dem Codierungs- 
format des Netzwerkprotokolls decodiert, 

- die decodierte kryptographisch bearbeitete Nachricht wird 
einem zu dem mindestens einen kryptographischen Verfahren in- 
versen kryptographischen Verfahren unterzogen, und 

- die invers kryptographisch bearbeitete Nachricht wird ent- 
sprechend dem Codierungsformat des Netzwerkprotokolls zu der 
digitalen Nachricht decodiert . 

4. Verfahren nach Anspruch 3, 

- bei dem die digitale Nachricht eine Anfrage zur Ausfuhrung 
einer vorgebbaren Aktion enthalt, 

- bei dem in der zweiten Computereinheit die angeforderte Ak- 
tion ausgefiihrt wird, und 

- bei dem in der zweiten Computereinheit das Ergebnis der Ak- 
tion in einer Antwortnachricht zu der ersten Computereinheit 
gesendet wird. 

5 . Verfahren nach Anspruch 3 , 

- bei dem die digitale Nachricht eine Anfrage zur Ausfuhrung 
einer vorgebbaren Aktion enthalt, 

- bei dem in der zweiten Computereinheit die angeforderte Ak- 
tion ausgefiihrt wird, 

- bei dem in der zweiten Computereinheit eine Antwortnach- 
richt gebildet wird, die ein Ergebnis der Aktion enthalt, 

- bei dem in der zweiten Computereinheit die Antwortnachricht 
entsprechend dem Codierungsformat des Netzwerkprotokolls co- 
diert wird, 

- bei dem in der zweiten Computereinheit die Antwortnachricht 
mindestens einem kryptographischen Verfahren unter zogen wird. 
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- bei dem in der zweiten Computereinheit die kryptographisch 
bearbeitete Antwortnachricht gespeichert wird, 

- bei dem in der ersten Computereinheit eine Abrufnachricht 
entsprechend dem Codierungsf ormat des Netzwerkprotokolls co- 
diert wird, mit der die kryptographisch bearbeitete Antwort- 
nachricht von der zweiten Computereinheit angefordert wird, 

- bei dem die Abrufnachricht von der ersten Computereinheit 
zu der zweiten Computereinheit ubertragen wird, 

- bei dem die Abrufnachricht von der zweiten Computereinheit 
empfangen wird, 

- bei dem die kryptographisch bearbeitete Antwortnachricht 
entsprechend dem Codierungsf ormat des Netzwerkprotokolls co- 
diert wird, und 

- bei dem die codierte kryptographisch bearbeitete Antwort- 
nachricht von der zweiten Computereinheit zu der ersten Com- 
putereinheit ubertragen wird. 

6 . Verf ahren nach Anspruch 3 , 

- bei dem die digitale Nachricht eine Anfrage zur Ausfuhrung 
emer vorgebbaren Aktion enthalt, 

- bei dem in der zweiten Computereinheit die angeforderte Ak- 
tion ausgefiihrt wird, 

- bei dem in der zweiten Computereinheit eine Antwortnach- 
richt gebildet wird, die ein Ergebnis der Aktion enthalt, 

- bei dem in der zweiten Computereinheit die Antwortnachricht 
entsprechend dem Codierungsf ormat des Netzwerkprotokolls co- 
diert wird, 

- bei dem in der zweiten Computereinheit die Antwortnachricht 
mindestens einem kryptographischen Verfahren unterzogen wird, 

- bei dem die kryptographisch bearbeitete Antwortnachricht 
entsprechend dem Codierungsf ormat des Netzwerkprotokolls co- 
diert wird, und 

- bei dem die codierte kryptographisch bearbeitete Antwort- 
nachricht von der zweiten Computereinheit zu der ersten Com- 
putereinheit ubertragen wird. 

7. Verfahren nach einem der Anspruche 2 bis 6, 
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bei dem in der zweiten Computereinheit die kryptographisch 
bearbeitete Antwortnachricht in einer Management Information 
Base (MIB) gespeichert wird, 

8 . Verf ahren nach einem der Anspriiche 1 bis 4 , 

bei dem als Netzwerkprotokoll das Simple Network Management 
Protocol Version 1 (SNMPvl) verwendet wird. 

9 . Verf ahren nach Anspruch 8 , 

- bei dem in der ersten Computereinheit bei der Codierung der 
kryptographisch bearbeiteten Nachricht ein Set -Request gebil- 
det wird, und 

- bei dem der Set -Request von der ersten Computereinheit zu 
der zweiten Computereinheit libertragen wird- 

10. Verf ahren nach Anspruch 8 oder 9, 

- bei dem als Abruf nachricht ein Get -Request verwendet wird, 

- bei dem bei der Codierung der angef orderten kryptographisch 
bearbeiteten Antwortnachricht ein Get -Response gebildet wird. 

11. Verf ahren nach einem der Anspriiche 4 bis 10, 

bei dem als Aktion eine Inf ormationsabf rage und/oder eine In- 
f ormationsangabe der zweiten Computereinheit libertragen wird. 

12. Vorrichtung mit mindestens einer Recheneinheit , die der- 
art eingerichtet ist, daS das Verf ahren nach einem der An- 
spriiche 1 bis 11 durchf iihrbar ist . 

13. Vorrichtung zur Codierung einer digitalen Nachricht unter 
Verwendung eines Codierungsf ormats eines Netzwerkprotokolls , 
das mindestens folgende Komponenten umf aEt : 

- ein erstes Mittel zur Codierung der digitalen Nachricht un- 
ter Verwendung des Codierungsf ormats des Netzwerkprotokolls 
zu einer . codierten Nachricht, 

- ein zweites Mittel zur kryptographischen Bearbeitung der 
codierten Nachricht, 
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- ein drittes Mittel zur Codierung der kryptographisch bear- 
beiteten Nachricht unter Verwendung des Codierungs formats des 
Netzwerkprotokolls . 

14. Vorrichtung zur Decodierung einer digitalen Nachricht, 
welches in einem Codierungsf ormat eines Netzwerkprotokolls 
vorliegt, das mindestens folgende Komponenten umf alSt : 
-- ein funftes Mittel zum Empfangen der codierten kryptogra- 
phisch bearbeiteten Nachricht von der ersten Computereinheit , 
-- ein sechstes Mittel zur Decodierung der empfangenen Nach- ' 
richt entsprechend dem Codierungsf ormat des Netzwerkproto- 
kolls, 

-- ein siebtes Mittel zur inversen kryptographischen Bearbei- 
tung der decodierten kryptographisch bearbeiteten Nachricht, 
und 

-- ein achtes Mittel zur Decodierung der invers kryptogra- 
phisch bearbeiteten Nachricht entsprechend dem Codierungsf or- 
mat des Netzwerkprotokolls. 

15. Vorrichtung zur Codierung einer digitalen Nachricht, zur 
Ubertragung der Nachricht von einer ersten Computereinheit zu 
einer zweiten Computereinheit und zur Decodierung der Nach- 
richt, 

- bei dem eine erste Computereinheit. vorgesehen ist, die min- 
destens folgende Komponenten umf aSt : 

-- ein erstes Mittel zur Codierung der digitalen Nachricht 
unter Verwendung eines Codierungsf ormats eines Netzwerkproto- 
kolls zu einer codierten Nachricht, 

-- ein zweites Mittel zur kryptographischen Bearbeitung der 
codierten Nachricht, 

-- ein drittes Mittel zur Codierung der kryptographisch bear- 
beiteten Nachricht unter Verwendung des Codierungsf ormats des 
Netzwerkprotokolls , 

-- ein viertes Mittel zum Senden der codierten kryptogra- 
phisch bearbeiteten Nachricht von der ersten Computereinheit 
zu der zweiten Computereinheit, 
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- bei dem eine zweite Computereinheit vorgesehen ist, die 
mindestens folgende Komponenten umfaSt: 

ein funftes Mittel zum Empfangen der codierten kryptogra- 
phisch bearbeiteten Nachricht von der ersten Computereinheit, 

ein sechstes Mittel zur Decodierung der empfangenen Nach- 
richt entsprechend dem Codierungs format des Netzwerkproto- 
kolls , 

ein siebtes Mittel zur inversen kryptographis.chen Bearbei- 
tung der decodierten kryptographisch bearbeiteten Nachricht, 
und 

ein achtes Mittel zur Decodierxing der invers kryptogra- 
phisch bearbeiteten Nachricht entsprechend dem Codierungsf or- 
mat des Netzwerkprotokolls . 

16. Vorrichtung nach Anspruch 13 oder 15, 

bei dem als drittes Mittel das erste Mittel vorgesehen ist. 

17. Vorrichtung nach Anspruch 14 oder 15, 

bei dem als achtes Mittel das sechste Mittel vorgesehen ist. 

18. Vorrichtung nach einem der Anspruche 15 bis 17, 

- bei dem die digitale Nachricht eine Anfrage zur Ausfuhrung 
einer vorgebbaren Aktion enthalt, 

- bei dem in der zweiten Computereinheit ein neuntes Mittel 
zur Durchfiihrung der angef orderten Aktion vorgesehen ist, und 

- bei dem in der zweiten Computereinheit ein zehntes Mittel 
zum Senden des Ergebnisses der Aktion zu der ersten Compu- 
tereinheit vorgesehen ist. 

19. Vorrichtung nach einem der Anspruche 15 bis 18, 

- bei dem die digitale Nachricht eine Anfrage zur Ausfuhrung 
einer vorgebbaren Aktion enthalt, 

- bei dem in der zweiten Computereinheit ein neuntes Mittel 
zur Durchfiihrung der angef orderten Aktion vorgesehen ist, 

- bei dem in der zweiten Computereinheit ein elftes Mittel 
zur Bildung einer Antwortnachricht , die ein Ergebnis der Ak- 
tion enthalt, vorgesehen ist. 
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- bei dem in der zweiten Computereinheit ein zwolftes Mittel 
zur Codierung Antwortnachricht entsprechend dem Codierungs- 
format des Netzwerkprotokolls , 

- bei dem in der zweiten Computereinheit ein dreizehntes Mit- 
tel zur Bearbeitung der Antwortnachricht mit mindestens einem 
kryptographischen Verfahren vorgesehen ist, 

- bei dem in der zweiten Computereinheit ein vierzehntes Mit- 
tel zur Speicherung der kryptographisch bearbeiteten Antwort- 
nachricht vorgesehen ist, 

- bei dem in der ersten Computereinheit ein f<infzehntes Mit- 
tel zur Bildung und Codierung einer Abruf nachricht entspre- 
chend dem Codierungs format des Netzwerkprotokolls, mit der 
die kryptographisch bearbeitete Antwortnachricht von der 
zweiten Computereinheit angefordert wird, vorgesehen ist, 

- bei dem in der ersten Computereinheit ein sechzehntes Mit- 
tel zum Senden der Abrufnachricht von der ersten Computerein- 
heit zu der zweiten Computereinheit, vorgesehen ist, 

- bei dem in der zweiten Computereinheit ein siebzehntes Mit- 
tel zum Empfangen der Abrufnachricht vorgesehen ist 

- bei dem in der zweiten Computereinheit ein achtzehntes Mit- 
tel zur Codierung der in der Abrufnachricht angef orderten 
kryptographisch bearbeiteten Antwortnachricht entsprechend 
dem Codierungsformat des Netzwerkprotokolls, vorgesehen ist. 



und 



- bei dem in der zweiten Computereinheit ein neunzehntes Mit 
tel zum Senden der codierten kryptographisch bearbeiteten 
Antwortnachricht von der zweiten Computereinheit zu der er- 
sten Computereinheit, vorgesehen ist. 

20. Vorrichtung nach einem der Anspruche 15 bis 18, 

- bei dem die digitale Nachricht eine Anfrage zur Ausfiihrung 
einer vorgebbaren Aktion enthalt, 

- bei dem in der zweiten Computereinheit ein neuntes Mittel 
zur Durchfiihrung der angef orderten Aktion vorgesehen ist, 

- bei dem in der zweiten Computereinheit ein elftes Mittel 
zur Bildung einer Antwortnachricht, die ein Ergebnis der Ak- 
tion enthalt, vorgesehen ist. 
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- bei dem in der zweiten Computereinheit ein zwolftes Mittel 
zur Codierung Antwortnachricht entsprechend dem Codierungs- 
format des Netzwerkprotokolls , 

- bei dem in der zweiten Computereinheit ein dreizehntes Mit- 
tel zur Bearbeitung der Antwortnachricht mit mindestens einem 
kryptographischen Verfahren vorgesehen ist, 

- bei dem in der zweiten Computereinheit ein achtzehntes Mit- 
tel zur Codierung der kryptographisch bearbeitet^en Antwort- 
nachricht entsprechend dem Codierungs format des Netzwerkpro- 
tokolls, vorgesehen ist, und 

- bei dem in der zweiten Computereinheit ein neunzehntes Mit- 
tel zum Senden der codierten kryptographisch bearbeiteten 
Antwortnachricht von der zweiten Computereinheit zu der er- 
sten Computereinheit, vorgesehen ist . 

21. Vorrichtung nach Anspruch 19 oder 20, 

bei dem das vierzehnte Mittel derart ausgestaltet ist,daS die 
kryptographisch bearbeitete Antwortnachricht in einer Manage- 
ment Information Base (MIB) gespeichert wird. 

22. Vorrichtung nach einem der Anspriiche 13 bis 21, 

das derart ausgestaltet ist, daS als Netzwerkprotokoll das 
Simple Network Management Protocol Version 1 (SNMPvl) verwen- 
det wird. 

23. Vorrichtung nach Anspruch 13 oder 15, 

- das derart ausgestaltet ist, dafi als Netzwerkprotokoll das 
Simple Network Management Protocol Version 1 (SNMPvl) verwen- 
det wird , und 

- bei dem das dritte Mittel zur Codierung der kryptographisch 
bearbeiteten Nachricht derart ausgestaltet ist, dafi bei der 
Codierung der kryptographisch bearbeiteten Nachricht ein Set- 
Request gebildet wird. 

24. Vorrichtung nach Anspruch 22, 



GR 97 P 1798 



36 

- bei dem das funfzehnte Mittel zur Bildung und Codierung der 
Abrufnachricht derart ausgestaltet ist, daS ein Get -Request 
gebildet wird, 

- bei dem das achtzehnte Mittel zur Codierung der in der Ab- 
rufnachricht angeforderten kryptographisch bearbeiteten Ant- 
wortnachricht derart ausgestaltet ist, dag ein Get -Response 
gebildet wird. 

25. Vorrichtung nach einem der Anspruche 15 bis 24, 

bei dem als Aktion eine Inf ormationsabf rage und/oder eine In- 
formations angabe der zweiten Computereinheit vorgesehen ist. 

26. Vorrichtung nach einem der Anspruche 12 bis 25, 

bei dem das zweite Mittel, das dritte Mittel und das vierte 
Mittel zusammen als ein erster Proxy Agent ausgestaltet sind, 
und/oder 

bei dem das fiinfte Mittel, das sechste Mittel und das siebte 
Mittel zusammen als ein zweiter Proxy Agent ausgestaltet 
sind . 



27. Kommunikationssystem mit einem Managers eines Kommunika- 
tionsnetzes und eines Zwischenmanagers eines Kommunikations- 
netzes, der das Kommunikationsnetz verwendet und weitere 
Dienste, die iiber die von dem Kommunikationsnetz angebotenen 
Dienste hinausgehen, Kunden anbietet mit einem Computersystem 
nach einem der Anspruche 13 bis 26. 
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Zusammenf assung 

Verfahren und Computersystem zur Codierung einer digitalen 
Nachricht, zur Ubertragung der Nachricht von einer ersten 
5 Computereinheit zu einer zweiten Computereinheit. und zur De- 
codierung der Nachricht 

Es wird ein Verfahren vorgestellt, bei dem fur ein Netzwerk- 
protokoll, z.B. fur das SNMPvl, wird in der ersten Compu- 

10 tereinheit (CI) eine Nachricht unter Verwendung des Codie- 

rungsf ormats des Netzwerkprotokolls zu einer codierten Nach- 
richt (CN) codiert (101) , Die codierte Nachricht (CN) wird 
einem kryptographischen Verfahren unterzogen (104) . Die da- 
durch gebildete kryptographisch bearbeitete Nachricht (KBN) 

15 wird wiederum unter Verwendung des Codierungsf ormats des 

Netzwerkprotokolls codiert (105) . Die auf diese Weise codier- 
te kryptographisch bearbeitete Nachricht (CKN) wird von der 
erste Computereinheit (CI) zu der zweiten Computereinheit 
(C2) libertragen. In der zweiten Computereinheit (C2) wird die 

2 0 empfangene Nachricht entsprechend dem Codierungsf ormat des 
Netzwerkprotokolls decodiert (10 9) und es wird ein inverses 
kryptographisches Verfahren (110) auf die decodierte Nach- 
richt (DKN) angewendet. Die invers kryptographisch bearbeite- 
te Nachricht (IKN) wird entsprechend dem Codierungsf ormat des 
Netzwerkprotokolls wiederum decodiert. 

Sig. Fig. 1 
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